| ファイアウォール機能 テクニカルガイド |
|
目次
索引
|
| 第5章 FAQ | > 5.4 運用上の留意事項 |
主に、Solaris版でアラート発生時にメール通知を行う環境でCPU負荷が高くなる場合に、以下の回避方法をご検討ください。
アラート通知機構の概要は、以下の通りです。
セットアップで、アラート監視の閾値を設定します。
IPフィルタでパケットを処理します。
IPフィルタは、処理したパケットの情報をアラート通知機能に通知します。
アラート通知機能は、IPフィルタから通知されたログ情報をもとに、アラート発生有無を判断します。アラート発生有無は、セットアップで設定されたアラート閾値から判断します。
アラート発生と判断した場合、アラート通知先にメール送信が指定されている場合、システムのメールクライアント(/bin/rmail)を利用してメール通知を行います。rmailは受信したデータを、メールサーバへ送信します。
ここで、閾値は、「アラート設定」で設定します。
デフォルト設定は以下の通りです。
|
項目 |
デフォルト値 |
|
|---|---|---|
|
Solaris版 |
Windows版 |
|
|
パケット監視時間 |
3600秒 |
60秒 |
|
同一送信元アラート判定基準値 |
5回 |
20回 |
|
同一送信先アラート判定基準値 |
5回 |
20回 |
|
メール通知 |
あり(root) |
− |
|
アラート時実行コマンド |
なし |
なし |
アラート処理のCPU 負荷軽減策には、アラート機能全体で有効な対応、及び、メール通知に有効な対応があります。
アラート通知機能全体に有効な対応
アラートイベントの発生を防止
アラートイベントの発生を削減
メール通知処理を無効化(非公開機能)
アラート機構を無効化する(非公開機能)
メール通知機能に有効な対応
メール通知環境の確認
運用形態に応じて、適用するCPU 負荷軽減策をご検討ください。
なお、いずれの場合においても、その対策の根底には、
アラート発生原因を調査し、その要因を排除する。
上記対処の結果、定常運用時に発生するアラートを排除する。
対応が行なわれることを暗黙の前提としていること、ご理解願います。
ある特定の通信(たとえば、RIPやNETBIOSなど)に関するアラートが発生している場合、当該特定通信に対して、ログ情報を採取しないフィルタ設定を行なうことで、当該パケットに関するログ情報は採取されなくなります。
結果的に、アラート判定で当該パケットに関する情報は除外されるため、アラートイベントの発生を抑止することができます。
詳細は、「ブロードキャストパケットの制御」を参照してください。
本製品で検出するアラートイベントは、以下の閾値を変更することでは、チューニングが可能です。
アラートイベントの検出基準の変更
セットアップを起動し、"アラート設定"を選択します。
表示された"アラート設定"画面で、次の値を変更して下さい。
|
パラメタ |
デフォルト |
意味 |
|
|---|---|---|---|
|
Solaris版 |
Windows版 |
||
|
パケット監視単位時間 |
3600秒 |
60秒 |
アラートイベントの判定基準となる単位時間を指定します。ここで指定した単位時間で破棄パケット数をカウントし、アラート判定基準値を越えた場合、アラートイベントとして判定されます。この値を小さくすることで、アラートイベントの判定基準が緩やかになります。 |
|
アラート判定基準値 |
5回 |
20回 |
パケット監視単位時間内で、破棄パケットをいくつ以上検出した場合にアラートイベントとして判定するかの基準値を指定します。この値を大きくすることで、アラートイベントの判定基準が緩やかになります。 |
メール通知機能を無効化します。
なお、本方法は、非公開機能であり、また、運用上、セットアップを起動した場合には、必ず環境設定ファイルの再編集が必要となります。
ファイル名
/opt/FSUNfwip/etc/FWConfig
編集方法
vi 等で上記ファイルを編集します。
[ALERT] カテゴリ中の ALERTER に NULLを設定します。
(例)
編集前:ALERTER root
編集後:ALERTER ""
留意事項
セットアップを利用した場合、必ず何らかのメールアカウントの設定が必要です。このため、セットアップを実行した場合には、必ず、本ファイルの内容を確認してください。
ファイル編集後、IPパケットフィルタ、及びIPパケットフィルタロギングの再起動が必要です。
アラート通知処理では、IPフィルタから受信したログ情報をもとに、コネクションごとの情報に変換しています。
このため、アラートが多発する環境においては、上記コネクション情報への変換処理がCPU 負荷を上げる可能性があります。
これへの対応として、アラート機構自体を無効化することも可能です。
ただし、本対応を行う場合には、以下に留意してください。
patch:910410-04が適用されていることが必要です。
パケットモニタ(pmon)にはコネクション情報は出力されなくなります。
本設定を解除する場合、「アラートメール送信先」には、実際に送信する送信先を指定してください。また、システムパラメタを編集前の値に戻してシステムをリブートしてください。
以下の設定を行ってください。
本製品の機能をを停止します。
sh /etc/rc0.d/K71FSUNipsec stop
sh /etc/rc0.d/K72fwip stop
システムパラメタを編集し、ログ格納領域を拡張します。
ログ格納領域は、システムパラメタ(strmsgsz)の設定値に従って拡張することができます(MAX=1Mバイト)。
(ex) ログ格納領域を1Mバイトに拡張する場合 /etc/system に以下のエントリを追加します。
set strmsgsz=0x100000
セットアップ画面の「アラート設定」で「アラートメール送信先」に、アラートメールの通知を行わないことを示す以下の文字列を設定します。
| no_sgalert |
システムをリブートします。
アラートイベントをメール通知する場合、メール通知環境を適切に設定しておくことが必要です。
たとえば、メールクライアントからメールサーバへの通信がブロックされ、アラート通知がループダウンした事象がありました。
また、sendmail 8.7.x 以降では、自ホスト定義の公式ホスト名の別名に FQDN が記述されていない場合、 メール送信処理がスローダウンする場合があります。その場合、/etc/inet/hosts の自ホスト定義の公式ホスト名の別名に FQDN を記述します。
|
目次
索引
|